Defensa en profundidad (informática)

Concepto en seguridad de la información.

La defensa en profundidad es un concepto utilizado en la seguridad de la información en el que se colocan múltiples capas de controles de seguridad (defensa) en todo un sistema de tecnología de la información (TI). Su intención es proporcionar redundancia en caso de que falle un control de seguridad o se explote una vulnerabilidad que pueda cubrir aspectos de seguridad personal , procesal , técnica y física durante todo el ciclo de vida del sistema.

Fondo

La idea detrás del enfoque de defensa en profundidad es defender un sistema contra cualquier ataque particular utilizando varios métodos independientes. ^[1] Es una táctica de capas, concebida ^[2] por la Agencia de Seguridad Nacional (NSA) como un enfoque integral de la seguridad electrónica y de la información. ^{[3] [4]} El término defensa en profundidad en informática está inspirado en una estrategia militar del mismo nombre , pero tiene un concepto bastante diferente. La estrategia militar gira en torno a tener una defensa perimetral más débil y ceder espacio intencionalmente para ganar tiempo, envolver y, en última instancia, contraatacar a un oponente, mientras que la estrategia de seguridad de la información simplemente implica múltiples capas de controles, pero no ceder terreno intencionalmente ( cf. honeypot). )

Control S

La defensa en profundidad se puede dividir en tres áreas: Física, Técnica y Administrativa. ^[5]

Físico

Los controles físicos ^[3] son ​​cualquier cosa que limite o impida físicamente el acceso a los sistemas de TI. Cercas, guardias, perros y sistemas de CCTV y similares.

Técnico

Los controles técnicos son hardware o software cuyo propósito es proteger sistemas y recursos. Ejemplos de controles técnicos serían el cifrado de disco, el software de integridad de archivos y la autenticación. Los controles técnicos de hardware se diferencian de los controles físicos en que impiden el acceso al contenido de un sistema, pero no a los sistemas físicos en sí.

Administrativo

Los controles administrativos son las políticas y procedimientos de la organización. Su propósito es garantizar que exista una orientación adecuada disponible con respecto a la seguridad y que se cumplan las regulaciones. Incluyen cosas como prácticas de contratación, procedimientos de manejo de datos y requisitos de seguridad.

Métodos

Usar más de una de las siguientes capas constituye un ejemplo de defensa en profundidad.

Sistema y aplicación

• Software antivirus
• Seguridad de autenticación y contraseña
• Cifrado
• contraseñas hash
• Registro y auditoría
• Autenticación multifactor
• Escáneres de vulnerabilidad
• Control de acceso temporizado
• Capacitación en concientización sobre la seguridad en Internet
• Zona de arena
• Sistemas de detección de intrusos (IDS)

Red

• Cortafuegos (hardware o software)
• Zonas desmilitarizadas (DMZ)
• Red privada virtual (VPN)

Físico

• Biometría
• Seguridad centrada en los datos
• Seguridad física (por ejemplo, cerraduras con cerrojo )

Ejemplo

En el siguiente escenario, se desarrolla un navegador web utilizando defensa en profundidad:

• los desarrolladores del navegador reciben formación en seguridad
• la base del código se verifica automáticamente utilizando herramientas de análisis de seguridad
• El navegador es auditado periódicamente por un equipo de seguridad interno.
• ... ocasionalmente es auditado por un equipo de seguridad externo
• ... se ejecuta dentro de un sandbox

Ver también

• Defensa en profundidad (militar romano)
• Estrategia de defensa (informática)

Referencias

1. Schneier sobre seguridad: seguridad en la nube
2. "Algunos principios del diseño seguro. Descarga gratuita del PDF del módulo Diseño de sistemas seguros en otoño". docplayer.net . Consultado el 12 de diciembre de 2020 .
3. Defensa en profundidad: una estrategia práctica para lograr la garantía de la información en los entornos altamente conectados de hoy.
4. OWASP CheatSheet: Defensa en profundidad
5. Stewart, James Michael; Chapple, Mike; Gibson, Darril (2015). Guía de estudio oficial para profesionales certificados en seguridad de sistemas de información CISSP (ISC) 2.